Eu li várias perguntas sobre esse assunto, comoAqui, Aqui, Aqui eAqui; mas nenhum deles forneceu uma solução de trabalho no meu caso.

O que eu quero fazer:

Implemente a autenticação do Windows para um aplicativo da Web que seja usado apenas por nossos próprios funcionários. Dessa forma, eles não precisam fazer login no aplicativo, mas já devem estar autenticados por meio do login no Windows.

Além disso, preciso restringir determinadas áreas do aplicativo, com base nos grupos de segurança do Active Directory aos quais o usuário pode ser atribuído.

Então, eu quero ser capaz de decorar controladores / ações com

[Authorize(Roles="SomeRole")]

O que eu tentei:

eu tenho

<authentication mode="Windows" />

no meu web.config. E eu adicionei várias permutações de um<roleManager> como encontrado em alguns dos posts ligados acima. Atualmente eu tenho esse gerenciador de funções

<roleManager defaultProvider="WindowsProvider"
  enabled="true"
  cacheRolesInCookie="false">
      <providers>
        <add
          name="WindowsProvider"
          type="System.Web.Security.WindowsTokenRoleProvider" />
      </providers>
    </roleManager>

como encontrado emisto postar.

Como é, se eu decorar um controlador com[Authorize], Eu posso acessá-lo bem.

Contudo:

Eu posso ver nas minhas configurações de usuário na rede, que faço parte de um grupo de segurança do AD chamado "TI". Mas se eu decorar o mesmo controlador com[Authorize(Roles="IT")] Eu recebo a tela em branco que é servida pelo servidor de desenvolvimento asp.net para um 401 não autorizado.Isso é inesperado. Eu acho que eu deveria ser capaz de ver a página como eu estou logado no Windows e faço parte do grupo "TI".

Quase tudo o que estou encontrando neste tópico faz parecer muito simples realizar o que estou tentando fazer, mas claramente sinto falta de algo aqui.